{"id":23095,"date":"2024-11-13T17:23:12","date_gmt":"2024-11-13T20:23:12","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23095"},"modified":"2024-11-13T17:23:12","modified_gmt":"2024-11-13T20:23:12","slug":"how-to-play-tanks-and-catch-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/how-to-play-tanks-and-catch-backdoor\/23095\/","title":{"rendered":"Como (n\u00e3o) jogar tanques e cair na armadilha de backdoor"},"content":{"rendered":"<p>Battle City, mais conhecido como \u201caquele jogo de tanque\u201d, \u00e9 um s\u00edmbolo de uma era dos games. Cerca de 30 anos atr\u00e1s, os gamers colocavam um cartucho no seu console, se acomodavam na frente de uma caixa de TV enorme e obliteravam ondas de tanques inimigos at\u00e9 que a tela ceder.<\/p>\n<p>Hoje, o mundo \u00e9 um lugar diferente, mas os jogos de tanque continuam populares. As vers\u00f5es modernas oferecem aos jogadores n\u00e3o apenas a emo\u00e7\u00e3o da jogabilidade, mas tamb\u00e9m a chance de ganhar NFTs. Os cibercriminosos tamb\u00e9m t\u00eam algo a oferecer: um ataque sofisticado direcionado aos entusiastas de jogos de criptografia.<\/p>\n<h2>Explora\u00e7\u00e3o de backdoor e dia zero no Google Chrome<\/h2>\n<p>Esta hist\u00f3ria come\u00e7a em fevereiro de 2024, quando <a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">nossa solu\u00e7\u00e3o de seguran\u00e7a<\/a>\u00a0detectou o backdoor do Manuscrypt no computador de um usu\u00e1rio na R\u00fassia. Conhecemos bem esse backdoor. V\u00e1rias vers\u00f5es dele foram usadas pelo grupo <a href=\"https:\/\/www.kaspersky.com.br\/blog\/lazarus-vhd-ransomware\/15827\/\" target=\"_blank\" rel=\"noopener\">Lazarus APT<\/a> desde pelo menos 2013. Portanto, como j\u00e1 conhecemos a principal ferramenta e os m\u00e9todos usados pelos invasores, o que h\u00e1 de t\u00e3o especial nesse incidente em particular?<\/p>\n<p>O problema \u00e9 que esses hackers normalmente t\u00eam como alvo grandes organiza\u00e7\u00f5es, como bancos, empresas de TI, universidades e at\u00e9 ag\u00eancias governamentais. Mas desta vez, Lazarus atingiu um usu\u00e1rio individual, plantando um backdoor em um computador pessoal! Os cibercriminosos atra\u00edram a v\u00edtima para um site de jogos e, assim, obtiveram acesso completo ao seu sistema. Tr\u00eas coisas tornaram isso poss\u00edvel:<\/p>\n<ul>\n<li>A vontade irresist\u00edvel da v\u00edtima de jogar seu jogo de tanque favorito em um novo formato<\/li>\n<li>Uma vulnerabilidade de dia zero no Google Chrome<\/li>\n<li>Um exploit que permitia a execu\u00e7\u00e3o remota de c\u00f3digo no processo do Google Chrome<\/li>\n<\/ul>\n<p>Antes de come\u00e7ar a se preocupar, relaxe: desde ent\u00e3o, o Google lan\u00e7ou uma atualiza\u00e7\u00e3o do navegador, bloqueou o site do jogo de tanques e <a href=\"https:\/\/chromereleases.googleblog.com\/2024\/05\/stable-channel-update-for-desktop_15.html\" target=\"_blank\" rel=\"noopener nofollow\">agradeceu<\/a> aos pesquisadores de seguran\u00e7a da Kaspersky. S\u00f3 para constar, <a href=\"https:\/\/www.kaspersky.com.br\/home-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">nossos produtos<\/a>\u00a0detectam o backdoor do Manuscrypt e o exploit. Aprofundamos os detalhes dessa hist\u00f3ria no <a href=\"https:\/\/securelist.com\/lazarus-apt-steals-crypto-with-a-tank-game\/114282\/\" target=\"_blank\" rel=\"noopener\">blog Securelist<\/a>.<\/p>\n<p><strong>Contas falsas<\/strong><\/p>\n<p>No in\u00edcio da investiga\u00e7\u00e3o, achamos que o grupo tinha feito um esfor\u00e7o extraordin\u00e1rio dessa vez: \u201cEles realmente criaram um jogo inteiro apenas para criar uma farsa?\u201d Mas logo descobrimos o que eles realmente tinham feito. Os cibercriminosos basearam seu jogo, DeTankZone, no jogo existente DeFiTankLand. Eles realmente fizeram tudo, roubando o c\u00f3digo-fonte do DeFiTankLand e criando contas falsas nas redes sociais para aplicar a fraude.<\/p>\n<p>Na mesma \u00e9poca, em mar\u00e7o de 2024, o pre\u00e7o da criptomoeda DepitankLand (sic) despencou. Os desenvolvedores do jogo original <a href=\"https:\/\/t.me\/DFTLofficial\/8935\" target=\"_blank\" rel=\"noopener nofollow\">anunciaram<\/a> que sua <a href=\"https:\/\/www.kaspersky.com\/blog\/five-threats-hardware-crypto-wallets\/47971\/#:~:text=Hot%20and%20cold%2C%20hardware%20and%20software%20wallets\" target=\"_blank\" rel=\"noopener nofollow\">carteira fria<\/a> havia sido invadida e \u201calgu\u00e9m\u201d havia roubado 20 mil d\u00f3lares. A identidade desse \u201calgu\u00e9m\u201d permanece um mist\u00e9rio. Os desenvolvedores acreditam que se tratou de um agente interno, mas suspeitamos que as m\u00e3os sempre presentes de Lazarus estejam envolvidas.<\/p>\n<div id=\"attachment_23097\" style=\"width: 1810px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/11\/13165108\/how-to-play-tanks-and-catch-backdoor-1.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23097\" class=\"wp-image-23097 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/11\/13165108\/how-to-play-tanks-and-catch-backdoor-1.png\" alt=\"As diferen\u00e7as entre o falso e o original s\u00e3o m\u00ednimas\" width=\"1800\" height=\"864\"><\/a><p id=\"caption-attachment-23097\" class=\"wp-caption-text\">As diferen\u00e7as entre o falso e o original s\u00e3o m\u00ednimas<\/p><\/div>\n<p>Os cibercriminosos orquestraram uma campanha de promo\u00e7\u00e3o completa para seu jogo: eles aumentaram a contagem de seguidores no X (antigo Twitter), enviaram ofertas de colabora\u00e7\u00e3o para centenas de influenciadores de criptomoedas (tamb\u00e9m v\u00edtimas em potencial), criaram contas premium no LinkedIn e organizaram ondas de e-mails de phishing. Como resultado, o jogo falso ganhou ainda mais tra\u00e7\u00e3o do que o <a href=\"https:\/\/twitter.com\/defitankland\" target=\"_blank\" rel=\"noopener nofollow\">original<\/a> (6 mil seguidores no X versus 5 mil na conta do jogo original).<\/p>\n<div id=\"attachment_23098\" style=\"width: 1325px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/11\/13165221\/how-to-play-tanks-and-catch-backdoor-2.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23098\" class=\"wp-image-23098 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/11\/13165221\/how-to-play-tanks-and-catch-backdoor-2.png\" alt=\"Conte\u00fado de rede social criado pela IA com a ajuda de designers gr\u00e1ficos\" width=\"1315\" height=\"696\"><\/a><p id=\"caption-attachment-23098\" class=\"wp-caption-text\">Conte\u00fado de rede social criado pela IA com a ajuda de designers gr\u00e1ficos<\/p><\/div>\n<p><strong>Como jogamos jogos de tanques<\/strong><\/p>\n<p>Agora, a parte mais divertida: o site malicioso para o qual o Lazarus atraiu suas v\u00edtimas ofereceu a chance n\u00e3o apenas de \u201cexperimentar\u201d uma explora\u00e7\u00e3o de navegador de dia zero, mas tamb\u00e9m de jogar uma vers\u00e3o beta do jogo. Bem, aqui na Kaspersky, respeitamos os cl\u00e1ssicos, ent\u00e3o n\u00e3o pudemos resistir a experimentar esta nova vers\u00e3o promissora. Baixamos um arquivo que parecia completamente leg\u00edtimo: 400 MB de tamanho, estrutura de arquivo correta, logotipos, elementos de interface do usu\u00e1rio e texturas de modelo 3D. Hora de inicializar!<\/p>\n<p>O menu Iniciar do DeTankZone nos recebe com uma solicita\u00e7\u00e3o para inserir um endere\u00e7o de e-mail e senha. Primeiro, tentamos fazer login usando <a href=\"https:\/\/www.kaspersky.com.br\/blog\/password-can-be-hacked-in-one-hour\/22708\/#:~:text=Using%20popular%20words%20and%20number%20sequences\" target=\"_blank\" rel=\"noopener\">senhas comuns<\/a>, como \u201c12345\u201d e \u201csenha\u201d, mas isso n\u00e3o funciona. \u201cTudo bem, ent\u00e3o\u201d, pensamos. \u201cVamos apenas registrar uma nova conta\u201d. Novamente, sem sorte, o sistema n\u00e3o nos deixou jogar.<\/p>\n<div id=\"attachment_23099\" style=\"width: 1930px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/11\/13165353\/how-to-play-tanks-and-catch-backdoor-3.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23099\" class=\"wp-image-23099 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/11\/13165353\/how-to-play-tanks-and-catch-backdoor-3.png\" alt=\"O menu Iniciar inspira confian\u00e7a com um formul\u00e1rio de login aparentemente leg\u00edtimo\" width=\"1920\" height=\"1080\"><\/a><p id=\"caption-attachment-23099\" class=\"wp-caption-text\">O menu Iniciar inspira confian\u00e7a com um formul\u00e1rio de login aparentemente leg\u00edtimo<\/p><\/div>\n<p>Ent\u00e3o, por que existem texturas de modelo 3D e outros arquivos no arquivo do jogo? Eles realmente podem ser outros componentes de malware? Na verdade, n\u00e3o \u00e9 t\u00e3o ruim assim. Fazemos a engenharia reversa do c\u00f3digo e descobrimos os elementos respons\u00e1veis pela conex\u00e3o com o servidor do jogo que, para esta vers\u00e3o falsa, n\u00e3o \u00e9 funcional. Ent\u00e3o, em teoria, o jogo ainda funciona. Um pouco de tempo livre, um pouco de programa\u00e7\u00e3o e <em>prontinho<\/em>, substitu\u00edmos o servidor dos hackers pelo nosso, e o tanque vermelho \u201cBoris\u201d entra na arena.<\/p>\n<div id=\"attachment_23100\" style=\"width: 1556px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/11\/13165509\/how-to-play-tanks-and-catch-backdoor-4.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-23100\" class=\"wp-image-23100 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2024\/11\/13165509\/how-to-play-tanks-and-catch-backdoor-4.png\" alt=\"O jogo nos lembrou aqueles shareware de vinte anos atr\u00e1s, definitivamente valeu a pena todo o esfor\u00e7o\" width=\"1546\" height=\"806\"><\/a><p id=\"caption-attachment-23100\" class=\"wp-caption-text\">O jogo nos lembrou aqueles shareware de vinte anos atr\u00e1s, definitivamente valeu a pena todo o esfor\u00e7o<\/p><\/div>\n<h2>Li\u00e7\u00f5es aprendidas com esse ataque<\/h2>\n<p>A principal conclus\u00e3o aqui \u00e9 que mesmo links da web aparentemente inofensivos podem acabar com todo o seu computador sendo invadido. Os cibercriminosos est\u00e3o constantemente aprimorando suas t\u00e1ticas e m\u00e9todos. O Lazarus j\u00e1 est\u00e1 usando a IA generativa com algum sucesso, o que significa que podemos esperar ataques ainda mais sofisticados envolvendo-a no futuro.<\/p>\n<p><a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Solu\u00e7\u00f5es de seguran\u00e7a<\/a>\u00a0tamb\u00e9m est\u00e3o evoluindo, com a integra\u00e7\u00e3o efetiva da IA. Saiba mais <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-role-in-cybersecurity-automation\/52448\/\" target=\"_blank\" rel=\"noopener nofollow\">aqui<\/a> e <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-cybersecurity-practical-soc-usage\/52474\/\" target=\"_blank\" rel=\"noopener nofollow\">aqui<\/a>. Portanto, tudo o que os usu\u00e1rios rotineiros da Internet precisam fazer \u00e9 garantir que a <a href=\"https:\/\/www.kaspersky.com.br\/home-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_blo_lnk_sm-team______\" target=\"_blank\" rel=\"noopener\">prote\u00e7\u00e3o<\/a>\u00a0de seus dispositivos e mantenha-se sempre a par das t\u00e9cnicas de golpes mais recentes. Felizmente, o Kaspersky Daily facilita tudo. <a href=\"https:\/\/www.kaspersky.com.br\/blog\/subscribe\/\" target=\"_blank\" rel=\"noopener\">Assine<\/a> a newsleter para ficar sempre por dentro.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-generic\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"premium-generic\" value=\"19875\">\n","protected":false},"excerpt":{"rendered":"<p>Os cibercriminosos criaram um novo esquema: atrair jogadores para um jogo moderno de criptomoeda sobre tanques para obter acesso total aos seus computadores.<\/p>\n","protected":false},"author":2706,"featured_media":23096,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1028],"tags":[1288,226,977,385,221,3314],"class_list":{"0":"post-23095","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-privacy","9":"tag-criptomoedas","10":"tag-fraude","11":"tag-golpe","12":"tag-jogos","13":"tag-phishing","14":"tag-vulnerabilidade-de-dia-zero"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-play-tanks-and-catch-backdoor\/23095\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-play-tanks-and-catch-backdoor\/28271\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/23526\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-play-tanks-and-catch-backdoor\/28412\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/27787\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-play-tanks-and-catch-backdoor\/30528\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/how-to-play-tanks-and-catch-backdoor\/29279\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-play-tanks-and-catch-backdoor\/38498\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-play-tanks-and-catch-backdoor\/12940\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-play-tanks-and-catch-backdoor\/52561\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-play-tanks-and-catch-backdoor\/22352\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-play-tanks-and-catch-backdoor\/28482\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-play-tanks-and-catch-backdoor\/34367\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-play-tanks-and-catch-backdoor\/33992\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/fraude\/","name":"fraude"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=23095"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23095\/revisions"}],"predecessor-version":[{"id":23102,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/23095\/revisions\/23102"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/23096"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=23095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=23095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=23095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}